La direttiva europea sui servizi di pagamento digitali, nota anche come PSD2 comporta l’autenticazione a due fattori

Dal 14 settembre è stata applicata una nuova direttiva europea per quanto concerne i pagamenti online. È la psd2, o autenticazione forte o autenticazione a due fattori.

L’autenticazione a due fattore è già diffusa per accedere ad account di posta elettronica o social network e ora sarà anche applicata al commercio elettronico e ai conti online, per contrastare i furti e le frodi online, un fenomeno in crescita con più di 3.000 denunce, 39 arresti e circa 160 mila segnalazioni nel 2018.

La PSD2 è nata per definire quali tipi di dati le banche devono obbligatoriamente condividere con una terza parte autorizzata e quali sono facoltativi. In questo secondo caso, la banca potrebbe anche pensare di “vendere” l’accesso a tali dati. Tra i dati che le banche potranno condividere ci sono, per citarne solo alcuni, l’IBAN, i dati personali dell’utente e lo stato del suo conto corrente.

La PSD2 introduce anche la figura del Account Information Service Provider. Esso è un fornitore di un servizio che possa aggregare informazioni provenienti da molteplici conti correnti o carte per dare all’utente, magari, dettagli, statistiche e prospetti sulle sue spese.

La direttiva europea sui servizi di pagamento digitali mira, in sostanza, ad accelerare la concorrenza. Si agevola al contempo l’introduzione e il consolidamento di nuove tipologie di servizi bancari, ma senza costringere le nuove aziende che nascono in questo settore a dover attraversare un burrascoso mare burocratico.

Cos’è la PSD2 e come si caratterizza

Nel documento ufficiale vengono elencati i punti che caratterizzano l’autenticazione forte. Ne citiamo alcuni punti.

[…] La procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, compreso l’uso delle credenziali di sicurezza personalizzate dell’utente. […]
  • «autenticazione forte del cliente»: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categoriedella conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione;

    «credenziali di sicurezza personalizzate»: funzionalità personalizzate fornite a un utente di servizi di pagamento dal
    prestatore di servizi di pagamento a fini di autenticazione.

  • «dati sensibili relativi ai pagamenti»: dati che possono essere usati per commettere frodi, incluse le credenziali di
    sicurezza personalizzate. Per l’attività dei prestatori di servizi di disposizione di ordine di pagamento e dei prestatori
    di servizi di informazione sui conti, il nome del titolare del conto e il numero del conto non costituiscono dati
    sensibili relativi ai pagamenti.

Documento ufficiale della direttiva

 

In breve l’autenticazione forte si basa su un doppio controllo e non basterà più il nome o l’email dell’utente, ma anche su altri fattori che possono essere:

  1. Qualcosa che solo l’utente possiede. Come uno smartphone.
  2. Qualcosa che solo l’utente conosce. Come un pin inviato via SMS.
  3. Qualcosa che caratterizza l’utente. Come l’impronta digitale.

 

 

Leave a Reply